Azure Ağ Bağdaştırıcısı’nı kullanarak tek başına sunucuları bağlama

Bastion
Sanal Ağ
VPN Gateway
Windows Server
Sanal Makineler

bu başvuru mimarisinde, Windows yönetim merkezi (wac) aracılığıyla dağıttığınız Azure ağ bağdaştırıcısını kullanarak, şirket içi tek başına sunucunun Microsoft Azure sanal ağlara nasıl bağlanacağı gösterilmektedir. Azure ağ bağdaştırıcısı, internet üzerinden, şirket içi ağınızı Azure 'a genişleten bir güvenli sanal bağlantı oluşturur.

Windows yönetim merkezi 'ni kullanarak bir azure ağ bağdaştırıcısı dağıtarak tek başına bir sunucuyu azure sanal ağına bağlamak için azure VPN kullanın. Ardından, VM özel IP adresini kullanarak tek başına sunucudan Azure sanal makinelerini (VM 'Ler) yönetebilirsiniz.

tek başına bir sunucuyu azure VPN aracılığıyla bir kurumsal ağın azure sanal ağına, şube ofisine veya başka bir bulut sağlayıcısının ağına bağlamak için Windows yönetim merkezi 'ni kullanarak bir azure ağ bağdaştırıcısı dağıtın. Daha sonra, Azure VM 'Leri herhangi bir konumdan özel IP adresleri aracılığıyla yönetmek için tek başına sunucu kullanabilirsiniz.

bu mimarilerin bir Visio dosyasını indirin.

Mimari

Mimari aşağıdaki bileşenlerden oluşur:

  • Şirket içi ağ. Bu bileşen bir kuruluşun özel yerel alan ağı (LAN).
  • Şube ofisi. Bu bileşen, bir şirket genelindeki ağ (WAN) üzerinden bağlanan uzak bir şube ofisindeki özel bir LAN.
  • Diğer bulut sağlayıcısı. Bu bileşen, bir bulut sağlayıcısının sunduğu özel bir sanal ağ. Bir sanal özel ağ (VPN) üzerinden bağlanır.
  • Windows yönetim merkezi 'nin yüklü olduğu Windows sunucusu. Azure ağ bağdaştırıcısını dağıtmak için kullandığınız sunucu.
  • Windows sunucusu (tek başına). Azure ağ bağdaştırıcısının yüklü olduğu sunucu. Bu sunucu bir şube ofis ağında veya farklı bir bulut sağlayıcısının ağında olabilir.
  • Azure Sanal Ağı (VNet). Azure 'daki aynı sanal ağda yer alan Azure VPN Gateway için sanal sunucular ve diğer hizmetler ve bileşenler.
  • Azure VPN Gateway. Sanal ağı bir VPN gereci veya Azure ağ bağdaştırıcısı aracılığıyla şirket içi ağa veya tek başına sunuculara bağlamanıza olanak sağlayan VPN Gateway hizmeti. Daha fazla bilgi için bkz. Şirket içi bir ağı Microsoft Azure sanal ağına bağlama. VPN ağ geçitleri için kullanılabilen birkaç fiyatlandırma katmanı veya stok tutma birimi (SKU) vardır. Her SKU iş yükü, aktarım hızı, özellik ve hizmet düzeyi sözleşmeleri (SLA 'Lar) türlerine göre farklı gereksinimleri destekler. VPN ağ geçidi aşağıdaki bileşenleri içerir:
    • Sanal ağ geçidi (etkin). Bu Azure kaynağı, sanal ağ için bir sanal VPN gereci sağlar ve şirket içi ağ ile sanal ağ arasında trafiği geri ve ileri yönlendirmekten sorumludur.
    • Sanal ağ geçidi (pasif). Bu Azure kaynağı, sanal ağ için bir sanal VPN gereci sağlar ve etkin Azure VPN Gateway 'ın bekleme örneğidir. Daha fazla bilgi için bkz. Azure VPN Gateway artıklığı hakkında.
    • Ağ geçidi alt ağı. sanal ağ geçidi, kendi alt ağında tutulur ve bu, aşağıdaki Öneriler bölümünde yer alan çeşitli gereksinimlere tabidir.
    • Bağlantı. Bağlantı, bağlantı türünü belirten özelliklere sahiptir. Bu özellikler, Internet Protokolü güvenliği (IPSec) ve trafiği şifrelemek için şirket içi VPN gereci ile paylaşılan anahtarı içerir.
  • Bulut uygulaması. Bu bileşen, Azure 'da barındırılan uygulamadır. Azure yük dengeleyiciler aracılığıyla bağlanan birden çok alt ağa sahip birçok katman içerebilir. Uygulama altyapısı hakkında daha fazla bilgi için bkz. Windows VM iş yüklerini çalıştırma ve Linux VM iş yüklerini çalıştırma.
  • İç yük dengeleyici. VPN ağ geçidinden gelen ağ trafiği, uygulamanın üretim alt ağındaki bir iç yük dengeleyici aracılığıyla bulut uygulamasına yönlendirilir.
  • Azuresavunma. Azure savunma, VM 'Leri doğrudan internet 'te kullanıma açmadan Azure sanal ağındaki VM 'Lerde oturum açmanızı sağlar. Secure Shell (SSH) veya Uzak Masaüstü Protokolü (RDP) kullanır. VPN bağlantısını kaybederseniz, Azure sanal ağındaki VM 'lerinizi yönetmek için Azure savunma 'yı kullanmaya devam edebilirsiniz. Ancak, Azure ile şirket içi sunucuların yönetimi desteklenmez.

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

tek başına sunucu Bağlan

Tek başına bir sunucuyu WAC aracılığıyla bağlamak için, sunucuyu adanmış sunucunun WAC yüklemesinde yönetilen sunucular listesine eklemeniz gerekir. Sunucuyu bu listeye ekledikten sonra, Azure ağ bağdaştırıcısını yüklemek istediğiniz sunucuyu seçip ardından Araçlar ' a, ardından da bölmesinde "+ Azure ağ bağdaştırıcısı Ekle (Önizleme)" seçeneğinden ' ı seçin.

İpucu

Tarayıcı pencerenizde "+ Azure ağ bağdaştırıcısı Ekle (Önizleme)" seçeneğini görmüyorsanız, pencerenizi büyütmenize veya açılan klavyeyle bir eylem düğmesi gözlemlemeniz gerekebilir. Seçeneğe erişmek ve Azure ağ bağdaştırıcısını eklemek için açılan giriş işaretini seçin.

+ Azure ağ bağdaştırıcısı Ekle (Önizleme) seçeneğini belirlediğinizde, bir tarayıcı penceresinde Azure ağ bağdaştırıcısı yapılandırması Ekle dikey penceresi açılır. Bu dikey pencerede yapılandırabileceğiniz çeşitli seçenekler vardır.

Not

Daha önce WAC 'den kullanmak istediğiniz Azure kiracısına karşı kimlik doğrulaması yapmadıysanız, bir kimlik doğrulama iletişim kutusu görüntülenir. Devam etmek için kiracının kimlik doğrulama bilgilerini sağlayın. Kimlik doğrulaması için kullandığınız kullanıcı kimlik bilgileri, sonraki adımlar sırasında yapılandıracağınız Azure kaynaklarını oluşturmak için yeterli izinlere sahip olmalıdır.

Aşağıdaki bilgiler gereklidir:

Alan Değer Ek bilgiler
Abonelik Açılan kutudan seç Bu alan yalnızca kiracınıza atanan abonelikleri listeler.
Konum Açılan kutudan seç Dağıtımınız için bir Azure bölgesi seçin.
Sanal Ağ Açılan listeden seçim yapın veya Yeni bir sanal ağa gelen oluşturmak için belirtilen köprüyü kullanın Azure Portal Seçiminize bağlı olarak, alanın içeriği farklılık gösterecektir. Sanal ağ varsa, Azure portal Sanal Ağa gelen gözden geçirmek için izleyebileceğiniz bir köprü gözlemleyebilirsiniz. Seçilen VNet zaten bir sanal ağ geçidi içeriyorsa, bu Azure kaynağına bir köprü sağlanacak.
Ağ geçidi alt ağı 10.0.1.0/24 gibi alt ağ öneki Seçili sanal ağa bağlı olarak, bu alan farklılık gösterecektir. Seçilen VNet, gatewaysubnetetiketli bir alt ağ içermiyorsa, alan adres aralığını ve alt ağ maskesini içeren bir alt ağ öneki ile önceden doldurulur. Seçilen VNet zaten bir sanal ağ geçidi içeriyorsa, bu Azure kaynağına bir köprü sağlanacak.
Ağ Geçidi SKU 'SU Açılan kutudan seç Daha fazla bilgi için bkz. ağ geçidi SKU 'ları.
İstemci adres alanı 192.168.1.0/24 gibi alt ağ öneki Alan, adres aralığını ve alt ağ maskesini içeren bir alt ağ öneki ile önceden doldurulur. Bu, Azure ağ bağdaştırıcısını ve Azure VPN Gateway ekleyeceğiniz sunucu arasında kullanılacak olan bir ağ olur. Şirket içinde veya bağlı Azure sanal ağlarının hiçbirinde kullanılan adres aralıklarından hiçbiriyle çakışmayacak bir adres aralığı olmalıdır.
Kimlik Doğrulama Sertifikası Seçeneklerden birini belirleyin "Otomatik olarak oluşturulan otomatik olarak imzalanan kök ve istemci sertifikası" seçeneği önceden seçilir ve çoğu senaryoda en iyi şekilde işe yarar. "Kendi kök ve istemci sertifikasını kullan" seçeneğini belirlediğinizde iki dosya sağlamalısınız: bir kök sertifika (. cer) ve bir istemci sertifikası (. pfx) ve ardından istemci sertifikası için parola.

Tüm gerekli alanları tamamladıktan sonra Oluştur düğmesi etkin hale gelir ve Azure ağ bağdaştırıcınızın dağıtımı Seçili sunucuya başlamak için onu seçmeniz gerekir.

Dağıtım işleminin, ilki Azure VPN Gateway dağıtımı ve seçimi olan iki ana bölümü vardır. Önce Azure VPN Gateway dağıtmanız gerekiyorsa, dağıtımın tamamlanabilmesi için 25 ila 45 dakika bekleyin. (Bazı yapılandırmaların dağıtımı uzun zaman alır.) WAC, dağıtımın ilerleme durumu hakkında bilgi sağlar. İkinci bölüm, Azure Ağ Bağdaştırıcısı'nın gerçek yüklemesidir ve bu işlem 10 dakika sürebilir. WAC, yüklemenin ilerleme durumu hakkında da size bildirim sağlar.

Dağıtım başladıktan sonra diğer araçları veya sunucuları seçerek WAC'nin odağında değişiklik sabilirsiniz. Dağıtım işlemi arka planda devam eder.

Otomatik olarak oluşturulan Otomatik olarak imzalanan kök ve istemci Sertifikası seçeneğini belirtirseniz, Azure sizin için gerekli iki sertifikayı otomatik olarak oluşturur ve bunları seçili sunucunun sertifika deposuna depolar. Bunları bulmak için WAC'de Sertifikalar aracını kullanabilir ve ardından Yerel Makine/Kök kapsayıcıda bir kök sertifika bulabilirsiniz. Sertifikanın adı Admin Center-Created-vpngw Windows başlar ve P2SRoot dizesini içerir. Dizenin kuyruğu, sertifikanın oluşturma tarihiyle kodlanmış bir zaman damgası içerir. Bu sertifika, Yerel Makine/CA kapsayıcısı içinde de depolanır. İkinci sertifika Yerel Makine/My kapsayıcısı içinde depolanır. Bu sertifikanın adı Admin Center-Created-vpngw Windows başlar ve P2SClient dizesini içerir. Dizenin kuyruğu, sertifikanın oluşturma tarihiyle kodlanmış bir zaman damgası içerir.

Dağıtım tamam olduktan sonra, seçilen sunucunun Ağlar aracı, dağıtım sona erdikten sonra otomatik olarak başlayan ve etkin bir durum gösteren yeni Azure Ağ Bağdaştırıcısı ile güncelleştirilir. Bağdaştırıcının bağlantısını kesmeyi veya silmeyi seçerek Diğer açılan listesini etkinleştirmek için bağdaştırıcıyı seçebilirsiniz. Gerçek sunucuda, Azure Ağ Bağdaştırıcısı VPN bağlantısı olarak yüklenir. Bağdaştırıcının adı, Admin CenterVPN Windows ve ardından rastgele üç basamaklı bir sayı ile başlar.

Azure Ağ Bağdaştırıcısı yük ve bağlı olduğunda, doğrudan Azure sanal ağlarına ve sistemlerine bağlanmak için bu yeni ağ bağlantısını kullanabilirsiniz. Bu bağlantı türü genellikle VM'nin genel IP adresini kullanmak yerine Azure VM'nin iç IP adresi aracılığıyla uzak masaüstü oturumu oluşturmak için kullanılır.

Ayrılmış WAC sunucusu kullanma

Merkezi bir yönetim için, başka sunucular ekl Windows Yönetim Sunucusu yüklemesi için ayrılmış bir yönetim grubu eklemenizi öneririz. Bu yaklaşım, hiçbir yönetilen sunucu için ek yazılım gerektiri anlamına gelir. WAC hakkında daha fazla bilgi için bkz. Microsoft belgeleri.

Ayrılmış bir sanal ağ hazırlama

Azure Ağ Bağdaştırıcısı'nın yükleme arabirimi adlandırma kuralı veya fiyatlandırma katmanı ihtiyaçlarını karşılamayabilirsiniz. Bu çakışmayı önlemek için, bağdaştırıcıyı dağıtmadan önce gerekli Azure kaynaklarını oluşturabilirsiniz. Dağıtım sırasında, bunları yükleme arabirimi aracılığıyla oluşturmak yerine zaten var olan kaynakları seçersiniz.

Not

Doğru SKU'VPN Gateway emin olun çünkü bunların hepsi Azure Ağ Bağdaştırıcısı ile birlikte gelen VPN bağlantısını desteklemez. Yükleme iletişim kutusu VpnGw1, VpnGw2 ve VpnGw3'ü sunar. Şu anda bağdaştırıcı, uygulamanın yedekli sürümlerini VPN Gateway.

Ölçeklenebilirlik konusunda dikkat edilmesi gerekenler

  • VPN Gateway SKU::
    • Seç VPN Gateway SKU'su, paralel olarak kaç bağlantı alabiliyor olduğunu ve tüm bu bağlantıların kullanılabilir bant genişliğini belirler. P2S IKEv2/OpenVPN seçeneğini kullanırken eşzamanlı bağlantı sayısı 250 ile 1.000 arasında değişir. IKE, IPsec Anahtarı Exchange. Daha fazla bağlantı gerekirse VpnGw1 ile başlamanız ve ölçeğin daha sonra ölçeğinin uztarılnız. Yeni bir ağ geçidi VPN Gateway, yeni bir ağ geçidi yüklemeniz ve bağlanmak için yeni bir Azure Ağ Bağdaştırıcısı dağıtmanız gerekir.
  • Bağlan tek başına sunucu kullanın:
    • WAC'yi kullanarak Azure Ağ Bağdaştırıcısı'nın ihtiyacınız olan sayıda sunucuya dağıtabilirsiniz. Ayrıca, farklı Azure sanal ağlara bağlanmak için tek bir sunucuya birçok Azure Ağ Bağdaştırıcısı eklemek de gerekir. Uygulamanın ilk dağıtımı VPN Gateway, yükleme arabiriminde mevcut ağ geçidini seçerek ek sunucuları aynı ağ geçidini kullanmak üzere yapılandırabilirsiniz.
    • Tek başına sunucular aynı ağ üzerinde, şube ofisi ağına veya farklı bir bulut tabanlı ağa yer olabilir. Gerekli ağ bağlantı noktaları bu bağlantılar aracılığıyla kullanılabilirse, kurumsal WAN'nız veya farklı bir bulut sağlayıcısına ayrılmış VPN gibi, kurduğunız ağ bağlantısını kullanabilirsiniz. Daha fazla bilgi için bu makaledeki "Güvenlikle ilgili dikkat edilmesi gerekenler" bölümüne bakın.
  • Azure Siteden Siteye bağlantı:
    • Azure Ağ Bağdaştırıcısı tek bir sunucuya tek bir yüklemedir. Birkaç sunucuya bağlanmak için önemli bir yönetim çalışmasıyla karşılaşabilirsiniz. Ancak, mevcut bir şirket içi ağı bir Azure sanal ağına ve alt ağlarına bağlayan Azure Site-2-Site bağlantısı (S2S) yöntemini kullanarak şirket içi sistemlerinizi bağlayarak bu çabadan kaçınabilirsiniz. Bu bağlantının temel özelliği, VPN Gateway bir şirket içi VPN ağ geçidini uzak Azure ağ geçidine bağ VPN Gateway. Bu güvenli bağlantı, iki ağ kesiminin birbirleriyle şeffaf bir şekilde iletişim kurmasına olanak sağlar.

Kullanılabilirlik konusunda dikkat edilmesi gerekenler

  • Azure Ağ Bağdaştırıcısı yalnızca Azure ağının etkin-pasif yapılandırmasını VPN Gateway. Bağdaştırıcının yapılandırması sırasında mevcut etkin-etkin Azure VPN ağ geçidine işaret edin. Kurulum, ağ geçidini etkin-pasif yapılandırmaya yeniden yapılandıracak. Etkin-etkin durumuna el ile ağ geçidi yeniden yapılandırması mümkündür, ancak Azure Ağ Bağdaştırıcısı bu ağ geçidine bağlanmaz.

    Uyarı

    Etkin-etkin yapılandırmaya sahip mevcut bir Azure VPN Gateway Azure Ağ Bağdaştırıcısı'nın yapılandırılması, ağ geçidini aktif-pasif olarak yeniden yapılandıracak. Bu, bu ağ geçidine yapılan tüm mevcut VPN bağlantılarını etkiler. Etkin-etkin yapılandırmadan etkin bekleme yapılandırmasına geçiş yapmak, her bağlantı için iki IPsec VPN tünelinde bir düşüşe neden olur. Genel bağlantı gereksinimlerinizi değerlendirmeden ve ağ yöneticilerinize danışmadan devam edin.

Yönetilebilirlik konusunda dikkat edilmesi gerekenler

  • Yönetim hesabı:

    • WAC, Azure Ağ Bağdaştırıcısı'nı dağıtmak ve hesap işlemeyi yapılandırmak için kullanabileceğiniz temel araçtır. Kullanılabilir seçenekler hakkında daha fazla bilgi için bkz. Yönetim Merkezi'nde Windows seçenekleri. Sunucu bağlantısı başına tek bir hesap yapılandırabilirsiniz.

      Not

      Sunucu başına yönetim hesabını yapılandırılan iletişim kutusu, Devam'ı seçerek kimlik bilgilerinizi doğrular. İletişim kutusunu açmak için WAC'de ilgili sunucu adına sahip satırı seçin ve ardından Olarak yönet'i seçin. Sunucuyu temsil eden köprüyü seçmeyebilirsiniz çünkü bu köprü sizi hemen bu sunucuya bağlar.

    • Ayrıca, WAC'de Ayarlar iletişim kutusunu açarak ve hesap bölümünü değiştirerek Azure bağlantısı için bir kullanıcı hesabı yapılandırmanız gerekir. Ayrıca, kullanıcı değiştirme veya oturum kapatma iletişim kutusunda bir kullanıcının oturumunu Ayarlar kapatabilirsiniz.

  • Azure Kurtarma Kasası tümleştirmesi:
    • Azure Ağ Bağdaştırıcısı'nın tek başına bir sunucuya yüklemesi sonrasında bu sunucuyu iş sürekliliğiniz için bir bağlantı noktası olarak düşünebilirsiniz. WAC'nin Araçlar bölümünde yapılandırılan Azure Kurtarma Kasası hizmetlerini kullanarak bu sunucuyu Azure Backup ve olağanüstü durum kurtarma yordamları ile tümleştirebilirsiniz. Azure Backup, Windows, saldırılar veya olağanüstü durumlara karşı korumak için doğrudan sunucunuza Microsoft Azure.

Güvenlik konuları

  • Gerekli ağ bağlantı noktaları:

    • Azure Ağ Bağdaştırıcısı'nın dağıtımı için WAC'yi kullanmak için PowerShell iletişim için ağ bağlantı noktalarının açık olması gerekir.

    • PowerShell Uzaktan Uzaktan Windows (WinRM) kullanır. Daha fazla bilgi için bkz. PowerShell İletişimi Güvenlik Konuları vePowerShell İletişimi varsayılan ayarları.

    • Bazı senaryolarda fazladan kimlik doğrulama yöntemlerine ihtiyaç vardır. WAC, uzak sunuculara bağlanmak için Kimlik Bilgisi Güvenliği Destek Sağlayıcısı protokolü (CredSSP) ile PowerShell kullanabilir. Daha fazla bilgi için bkz. PowerShell İletişimi ve CredSSP ve Windows Merkezi'nin CredSSP'yi nasıl kullandığı.

    • PowerShell Remoting (ve WinRM) aşağıdaki bağlantı noktalarını kullanır:

      Protokol Bağlantı noktası
      HTTP 5985
      HTTPS 5986

    • Windows Yönetim Merkezi'nin (WAC) yüklü olduğu sunucuya nasıl bağlanabilirsiniz, WAC'nizin yükleme türüne bağlıdır. Varsayılan bağlantı noktası değişir ve Windows 10 üzerine yüklenirken 6516 veya Windows Server'a yüklenirken bağlantı noktası 443 olabilir. Daha fazla bilgi için, bkz. Install Windows Admin Center.

  • Bulut tümleştirmesi için Microsoft Defender:
    • Azure Ağ Bağdaştırıcısı'nın yüklü olduğu sunucuyu korumaya yardımcı olmak için WAC'nin Araçlar bölümünden Bulut için Microsoft Defender'ı seçerek sunucuyu Bulut için Microsoft Defender ile tümleştirebilirsiniz. Tümleştirme sırasında var olan bir Azure Log Analytics çalışma alanını seçmeniz veya yeni bir çalışma alanı oluşturmanız gerekir. Bulut için Microsoft Defender ile tümleştirin her sunucu için ayrı olarak faturalandırılırsınız. Daha fazla bilgi için bkz. Bulut için Microsoft Defender fiyatlandırması.

DevOps için dikkat edilmesi gerekenler

  • Azure Otomasyonu:
    • WAC, Azure ağ bağdaştırıcısını oluşturan PowerShell koduna erişmenizi sağlar ve aracını seçerek ve ardından WAC sayfasının en üstündeki PowerShell betikleri görüntüle simgesini seçerek gözden geçirebilirsiniz. Betiğin adı tam-P2SVPNConfigurationve bir PowerShell işlevi olarak uygulanır. Kod dijital olarak imzalanır ve yeniden kullanılabilir duruma gelmiştir. Azure portal içinde daha fazla hizmet yapılandırarak, Azure Otomasyonu ile tümleştirebilirsiniz.

Maliyetle ilgili konular

  • Azure Fiyatlandırma Hesaplayıcı:
    • Azure ağ bağdaştırıcısının kullanılması, şirket içi sisteme dağıttığınız bir bileşen olduğu için aslında hiçbir şey için uygun maliyetli değildir. Çözümün bir parçası olarak Azure VPN Gateway, Azure kurtarma Kasası veya bulut için Microsoft Defender gibi diğer hizmetlerin kullanımı gibi ek maliyetler üretir. Gerçek maliyetler hakkında daha fazla bilgi için bkz. Azure Fiyatlandırma hesaplayıcısı. Gerçek maliyetlerin Azure bölgesine ve bireysel sözleşmeye göre değişiklik gösterdiğinden emin olmanız önemlidir. Fiyatlandırma hakkında daha fazla bilgi için bir Microsoft satış temsilcisiyle iletişim kurun.
  • Egress maliyetleri:
    • Giden Inter-VNet veri aktarımları ile ilişkili ek maliyetler vardır. Bu maliyetler VPN Gateway SKU 'suna ve kullanmakta olduğunuz gerçek veri miktarına bağlıdır. Daha fazla bilgi için bkz. Azure Fiyatlandırma hesaplayıcısı. Gerçek maliyetlerin Azure bölgesine ve bireysel sözleşmeye göre değişiklik gösterdiğinden emin olmanız önemlidir. Fiyatlandırma hakkında ek bilgi için bir Microsoft satış temsilcisiyle iletişim kurun.

Sonraki adımlar

Bileşen teknolojileri hakkında daha fazla bilgi edinin:

İlgili mimarileri keşfet: